1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kurznachrichtendienst: 250.000…

Passwörter

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Passwörter

    Autor: der_wahre_hannes 03.02.13 - 13:47

    "Der Sicherheitsexperte riet dazu, starke Passwörter mit mindestens zehn Zeichen mit großen und kleinen Buchstaben, Zahlen und Sonderzeichen zu verwenden."

    Wieso fällt mir bei solchen Äußerungen immer dies hier ein: http://xkcd.com/936/

    10 Zeichen mit großen und kleinen Buchstaben, Zahlen, Sonderzeichen... das kann sich doch niemand merken. Wieso nicht Passwörter wie im obigen XKCD wählen? Die kann man sich sehr leicht merken, sind aber von einem Angreifer in absehbarer Zeit nicht knackbar.

    Mal ein kleines Beispiel:
    Man denke an seinen Lieblingssong, nehmen wir als Beispiel mal "Only happy when it rains" von Garbage. Da kann man sich z.B. 2 Wörter rauspicken. Nehmen wir mal "Happy" und "Rain".
    Gesungen wird das ganze von Shirley Manson. Den Vornamen nehmen wir auch. Was fällt einem zu "Shirley" ein? Vielleicht ja Shirley Temple. Zum Nachnamen "Temple" könnten einem vielleicht die Stone Temple Pilots einfallen. Nehmen wir hiervon also das "Pilots".

    Dann haben wir ein schönes Passwort: "Happy Rain Shirley Pilot". Lässt sich auf jeden Fall leichter merken als ein Passwort wie "UGgr@F7cC!", lässt sich auf Smartphones zudem leichter tippen und ist aufgrund der Länge von 25 Zeichen auch kaum durch Brute Force zu knacken.

    Gut, manche Seiten lassen kein Leerzeichen in den Passwörtern zu (warum auch immer). Dann kann man aber immer noch "Happy-Rain-Shirley-Pilot" als Passwort wählen.

    In der c't war vor kurzem ein Artikel über Passwortknacker, die selbst ein Passwort wie "thatsthewayilikeitbabyidontwannaliveforever" geknackt hätten, da es sich hier nur um ein Zitat aus einem Liedtext von Motörhead handelt. Aber ich bin mir sicher, dass sich obiges Passwort (bis zu diesem Post ;) ) kaum über google oder ähnliche Suchmaschinen finden lässt. Es ist kein Zitat aus irgendeinem Liedtext, kein Bibelzitat und auch kein Sprichwort. Es sind einfache Wörter, die zusammengesetzt wurden. Leicht zu merken, aber dennoch schwer zu knacken. SO sollten Passwörter gewählt werden!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Passwörter

    Autor: noplease 03.02.13 - 16:27

    Ich kann ja wohl davon ausgehen, dass Du hier nicht etwa vorschlagen wolltest, für jede Anmeldung das selbe Passwort zu benutzen, oder?!

    Wenn doch, dann sind wir nämlich sofort wieder bei einem der besten Gründe für solche Angriffe, wie dem hier auf Twitter: das Gewinnen von 'persönlichen Passwörtern'. Damit wird dann nicht selten der Zugriff auf andere 'wichtige' Konten der Betreffenden möglich, ... denn: für viele sind die 'Sozialen Netzwerke' etwas so persönliches, dass sie hier Kennwörter benutzen, die sie nicht selten mehrfach benutzen... kurzum bei allem, was mit ihrer eigenen Person zu tun hat. Bei Mailkonten und vor allem bei Foren und Webshops wird schon mal varriert, bei den persönlichen Anmeldungen schon eher selten.

    Also wird z.B. zu den bei einer Zeitung gefundenen Namen ein gleichlautender Twitter-Account gesucht, den man dann versucht, zu hacken.
    Schon eher nützlich ist da der Umstand, dass viele heutzutage ihren Klarnamen einsetzen, aber auch wer unter einem Pseudonym bekannt ist, hat die Angewohnheit, immer wieder den selben Namen zu verwenden. Entsprechend hoch ist die zu erwartende Trefferquote bei der Überlagerung gewonnener Daten aus mehreren Angriffen auf verschiedene Ziele.

    Wenn Du dagegen auch der Meinung bist, dass man für jede Anmeldung auch ein eigenes Kennwort haben sollte, ...
    ... dann stehst Du aber vor dem Problem, dass Du Dir für jede Anmeldung/jeden Account wieder einen neuen anderen Song mit einem anderen Interpret, eine weitere Person mit demselben Vornamen und aus deren Nachnamen wieder einen abgeleiteten Namen ausdenken musst.
    Man muss also auch da wieder wissen, welche 'Gedankenkette' wo zutrifft...
    Ob das dann wirklich so viel einfacher ist, als beliebige zufällig angelegte Kennwörter?
    Einen weiteren Fehler im Strickmuster Deines Vorschlags sehe ich dabei auch noch: mir fallen keine Namen ein, in denen in bemerkenswertem Umfang Sonderzeichen und Ziffern vorkommen. Das schränkt den Zeichenraum für Brute-Force-Attacken doch sehr empfindlich ein. Dann können 25er-Strings knackbarer sein als andere deutlich kürzere.

    Ich bleibe dann doch gerne weiter bei den lustig-sinnlosen Zeichenfolgen und lege für jeden Account gerne eine eigene an. Als äußerst spendabler User vergebe ich jeder dauerhaften Anmeldung dann auch noch eine eigene einzigartige Mailadresse, so dass ich im Fall der Fälle sogar auch weiß, wem meine Daten abhanden gekommen sind. ^^

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Passwörter

    Autor: der_wahre_hannes 03.02.13 - 17:10

    noplease schrieb:
    --------------------------------------------------------------------------------
    > Ich kann ja wohl davon ausgehen, dass Du hier nicht etwa vorschlagen
    > wolltest, für jede Anmeldung das selbe Passwort zu benutzen, oder?!

    Wo liest du das denn aus dem Text raus? Ich sage: Hört doch bitte auf, den Usern einzureden, sie müssten unglaublich komplexe Passwörter wählen, wenn die doch sehr einfach durch die Unterstützung von Computern geknackt werden können.

    > Wenn Du dagegen auch der Meinung bist, dass man für jede Anmeldung auch ein
    > eigenes Kennwort haben sollte, ...
    > ... dann stehst Du aber vor dem Problem, dass Du Dir für jede
    > Anmeldung/jeden Account wieder einen neuen anderen Song mit einem anderen
    > Interpret, eine weitere Person mit demselben Vornamen und aus deren
    > Nachnamen wieder einen abgeleiteten Namen ausdenken musst.

    Man kann sich auch einfach eine Geschichte zur Webseite ausdenken, oder man nimmt einfach irgendwelche anderen Wörter, wie z.B. "correct horse battery staple". Wo ist hier denn der Unterschied zu dem Hinweis, man soll für jede Seite ein anderes Passwort haben? Wenn ich mich auf 10 Seiten anmelde und 10 komplett unterschiedliche Passwörter benutzen soll, dann nehme ich doch lieber etwas, was ich mir leicht merken kann.

    > Man muss also auch da wieder wissen, welche 'Gedankenkette' wo zutrifft...
    > Ob das dann wirklich so viel einfacher ist, als beliebige zufällig
    > angelegte Kennwörter?

    Man kann sich sehr viel leichter für 10 verschiedene Seiten 4 zufällig gewählte Wörter merken, als für 10 verschiedene Seiten 10 völlig zufällig generierte Zeichenketten, meinst du nicht? Oder bist du wirklich der Ansicht, du könntest dir 10 Passwörter im Stile von "8;dU2i2{xs1*hT#4A9tccT." leichter merken, als Passwörter im Stile von "correct horse battery staple"?
    Ganz abgesehen davon, dass man das komplexe Passwort auf einem Smartphone kaum wird eintippen können, ohne dabei halb wahnsinnig zu werden.

    > Einen weiteren Fehler im Strickmuster Deines Vorschlags sehe ich dabei auch
    > noch: mir fallen keine Namen ein, in denen in bemerkenswertem Umfang
    > Sonderzeichen und Ziffern vorkommen.

    Oh Mann... da sind wir doch wieder genau bei dem Argument, dass Passwörter zu komplex gemacht werden, bis sie sich kein Mensch mehr merken kann.
    Was passiert?
    1. man schreibt das Passwort irgendwo auf. Ok, auf meine Schreibtischunterlage hat kein Trojaner Zugriff, wirklich toll ist das aber trotzdem nicht.
    2. Man verzichtet auf den Kram, weil es "zu kompliziert" ist und landet dann bei Passwörtern wie "ge!heim1234", die innerhalb von Sekunden geknackt sind.

    Außerdem:
    1. Das Leerzeichen IST ein Sonderzeichen.
    2. Wo ist denn das Problem, das Passwort z.B. als "Happy_Rain@Shirley-Pilot" zu wählen, mal ganz abgesehen davon, dass man es wieder unnötig komplex macht, ohne wirklich Sicherheit dazu zu gewinnen.

    > Das schränkt den Zeichenraum für Brute-Force-Attacken doch sehr empfindlich ein. Dann können 25er-Strings knackbarer sein als andere deutlich kürzere.

    Ok, lassen wir das Leerzeichen mal außer Acht: Groß- und Kleinbuchstaben, also ein Suchraum von 52 möglichen Zeichen. Eine Länge von 25 Zeichen. Also 53^25=7,94481138*10^42 verschiedene Möglichkeiten. Ich glaube, das reicht aus, oder?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Passwörter

    Autor: KTVStudio 04.02.13 - 06:23

    Ist das der Passworthinweis nicht ein wenig deplaziert? Ich meine bei solch einer Aktion ist es doch schlichtweg egal was für ein Passwort im Einsatz ist futsch ist futsch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Passwörter

    Autor: der_wahre_hannes 04.02.13 - 10:44

    Ich gehe einfach mal davon aus, dass Twitter die Dinger nicht im Klartext gespeichert hat...

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


1.200-MBit-Powerline im Test: "Schatz, mach das Licht aus, das Netz ist so langsam!"
1.200-MBit-Powerline im Test
"Schatz, mach das Licht aus, das Netz ist so langsam!"

Grafiktreiber im Test: AMD wagt mit Catalyst Omega Neuanfang samt Downsampling
Grafiktreiber im Test
AMD wagt mit Catalyst Omega Neuanfang samt Downsampling
  1. Partikelsimulation Nvidias Flex rührt das Müsli an
  2. Geforce GTX 980 Matrix Asus' Overclocker-Grafikkarte schmilzt Eis
  3. Dual-GPU-Grafikkarte AMDs Radeon R9 295 X2 nur kurzfristig billiger

Yotaphone 2 im Test: Das Smartphone neu gedacht - und endlich auch durchdacht
Yotaphone 2 im Test
Das Smartphone neu gedacht - und endlich auch durchdacht

  1. Story Mode: Telltale arbeiten an Minecraft-Episodenabenteuer
    Story Mode
    Telltale arbeiten an Minecraft-Episodenabenteuer

    Keine Klötzchen, sondern eine Handlung steht im Mittelpunkt von Minecraft: Story Mode. Das Adventure entsteht bei Telltale und Mojang - und auch die Community soll beteiligt werden.

  2. Deutscher Entwicklerpreis 2014: Lords of the Fallen schafft eines von drei Triples
    Deutscher Entwicklerpreis 2014
    Lords of the Fallen schafft eines von drei Triples

    Der Actiontitel Lords of the Fallen galt im Vorfeld als Favorit beim Deutschen Entwicklerpreis 2014. Bei der Preisverleihung in Köln konnte er dann drei Awards gewinnen - genauso wie auch zwei andere Spiele.

  3. General vor dem NSA-Ausschuss: Der Feuerwehrmann des BND
    General vor dem NSA-Ausschuss
    Der Feuerwehrmann des BND

    Er war die treibende Kraft hinter der Operation Eikonal: Um dem BND zeitgemäßes Know-how und Technik zu besorgen, bot ein Abteilungsleiter der NSA den Zugriff auf den Frankfurter Internetknoten an. Mit einigen Tricks.


  1. 23:19

  2. 22:31

  3. 19:22

  4. 16:44

  5. 16:34

  6. 15:41

  7. 15:34

  8. 15:22